Beaucoup d’établissements financiers prennent très au sérieux les menaces pour leur cybersécurité. Plus de 143 millions d’Américains ont été touchés par le piratage d’Equifax et le nombre de victimes continue d’augmenter. Cette atteinte à la cybersécurité est également l’une des nombreuses menaces que subissent les établissements financiers. En cause : leur incapacité à mettre à jour leurs pratiques de cybersécurité. Et bien souvent, ces établissements se sentent dépassés par des menaces qui évoluent en permanence.
En face, les cyberpirates sont prêts à contre-attaquer : afin de garder un coup d’avance sur les entreprises de la finance et les nombreux outils d’atténuation à leur disposition, ils adoptent constamment de nouvelles techniques. Ce jeu du chat et de la souris a poussé les dirigeants d’entreprise à faire de la lutte contre ces cybermenaces une priorité — le PDG d’IBM, Ginni Rometty a d’ailleurs qualifié la cybercriminalité de « menace la plus importante » pour les entreprises du monde entier. Les experts estiment en effet à 5 milliards de dollars le coût des rançongiciels rien qu’en 2017, soit 15 fois plus qu’en 2015 où la facture ne s’élevait qu’à 325 millions de dollars. Ce coût inclut les interruptions d’activité, les pertes de données, la perte de productivité, le préjudice réputationnel, la formation des collaborateurs et la reprise d’activité après sinistre.
Il faut savoir que les rançongiciels ne sont pas les seuls à menacer la sécurité du réseau des entreprises. Une prise de conscience doit s’opérer face aux autres menaces imminentes, comme les chevaux de Troie, pour que les agences financières investissent dans des solutions de protection. Récemment, la cybersécurité de banques sud-américaines s’est vu menacer par un cheval de Troie qui a tenté de s’emparer de leurs données. À la lumière de ces menaces, il importe de connaître l’origine de ces malwares.
Contrats avec des tiers, un facteur de risques accrus
De nombreuses institutions financières préfèrent conclure des accords avec des prestataires de services Cloud ou autres, afin de réduire les coûts de la conformité réglementaire plutôt que de créer des solutions d’aide à la conformité en interne. Ne perdons cependant pas de vue que le niveau de sécurité d’une entreprise dépend de son prestataire le plus « faible ». Autrement dit : un prestataire confronté à une menace peut également vous rendre vulnérable. Partant de ce constat, il serait temps de revoir tous vos contrats avec des tiers, en articulant l’ensemble de votre réflexion autour des questions de cybersécurité. Demandez-vous :
- Qui est responsable de la protection de vos données ?
- Quelles réglementations devez-vous respecter pour rester en conformité ?
- Qui risquerait de provoquer un problème ?
Réfléchissez-y bien, car les conséquences peuvent être lourdes, et pas uniquement pour votre réputation. Il est indispensable de bien évaluer vos prestataires de services Cloud. Au-delà de l’aspect pratique d’une telle approche, votre aptitude à assurer la sécurité des données importantes est en jeu. Or, dans la liste d’erreurs à ne pas commettre, le manque de vigilance est un grand classique. Avant de confier la protection de vos données aux technologies cloud, demandez-vous :
- Où sont stockées vos données ?
- Qui a accès au site de stockage physique de vos données ?
- Comment le prestataire de services Cloud assure-t-il la protection de vos données, surtout pendant leur transfert et leur stockage ?
L’IoT, vecteur d’attaques DDoS
Les technologies Cloud sont emblématiques d’un mode de propagation des menaces qui exploite les technologies émergentes. Bon nombre d’entreprises l’ont appris à leurs dépens en 2016 lors de la plus grande attaque par déni de service distribué (DDoS) ; des pirates avaient en effet utilisé l’Internet des Objets (IoT) comme vecteur d’attaque. La pagaille semée en ligne par le botnet créé à la suite du piratage d’objets connectés non sécurisés a provoqué de nombreuses pannes sur de grands sites comme Twitter et Amazon. Avec la généralisation des objets connectés — bracelets de fitness connectés, tablettes et appareils d’électroménager intelligents — ces menaces se complexifient.
En tant qu’établissement financier, vous devez prendre au sérieux ces menaces potentiellement très anxiogènes pour vos clients. C’est notamment le cas des attaques DDoS qui exploitent des objets connectés pour saturer un site Web et empêcher ainsi les clients de se connecter à leur compte bancaire ou d’utiliser une application pour le faire. Entre-temps, tant que vous n’avez pas maîtrisé l’attaque, vos clients ne peuvent accéder à leur argent. Imaginez l’impact pour la réputation de votre établissement… un cauchemar !
Ce n’est qu’une des nombreuses raisons pour lesquelles aux Etats-Unis, les sénateurs ont présenté une législation bipartite visant à réduire le risque cyber dans l’IoT. Ils ont, à ce titre, exigé que les fabricants d’objets connectés répondent aux exigences minimales en matière de cybersécurité (en permettant par exemple aux utilisateurs de modifier le mot de passe défini par défaut). Bien que cette législation permette de réduire le risque de détournement d’objets connectés, elle ne décharge pas pour autant les établissements financiers de leur responsabilité de protection de leurs actifs. Vous devez donc disposer d’un plan de reprise après sinistre et étudier la possibilité d’externaliser vos services de protection anti-DDoS. Vous trouverez plus de conseils pour vous protéger contre les attaques par DDoS ici.
Attention aux menaces internes
Soyez vigilant vis-à-vis des risques externes, mais également en interne. Effectivement, d’après l’indice IBM « CyberSecurity Intelligence Index » de 2016, c’est là que se nichent 60 % des menaces. Ce même rapport indiquait que la finance était l’un des trois premiers secteurs dans le viseur des cybercriminels. Parmi ces menaces, 75 % étaient intentionnelles, et par conséquent le fait de collaborateurs mécontents ayant décidé d’en découdre avec leur entreprise. Les 25 % restants étaient imputables à des erreurs humaines (un collaborateur qui téléchargerait, à son insu, un fichier suspect qui enverrait un malware dans le système bancaire).
Les menaces de ce type sont d’autant plus nocives qu’elles viennent de l’intérieur de votre établissement financier – confirmant par-là le manque d’efficacité de vos outils d’atténuation des menaces. Souvent indétectables pendant de longues périodes, ces menaces recèleraient d’un potentiel de nuisance particulièrement élevé. Voilà qui devrait vous inciter à muscler vos règles de sécurité. Mais attention à ce que cela ne se retourne pas contre vous — le risque étant d’éroder la satisfaction des collaborateurs, et donc, leur productivité.
Dans ce contexte, la meilleure solution est de vous concentrer principalement sur vos actifs les plus précieux. Passez en revue les personnes qui ont effectivement besoin d’accéder à ces ressources et systèmes, et instaurez des règles de contrôle d’accès pour limiter les risques. Formez également vos collaborateurs à la cybersécurité. Les attaques par hameçonnage (phishing) sont aussi l’une des principales portes d’entrée pour les pirates. Un collaborateur (in) formé saura se défendre : multipliez les conseils sur le repérage des e-mails et des sites Web factices, et procédez à des tests de simulation.
Cybersécurité : des assaillants toujours à l’affût
Ces menaces sérieuses sont à prendre avec la gravité requise. Face à des cyberattaques en perpétuelle évolution, la bataille est à moitié gagnée lorsque l’on parvient à garder une longueur d’avance. Il serait cependant dommage de vous arrêter en si bon chemin. Assurez-vous d’aller jusqu’au bout, et d’instaurer les protections requises.
N’oubliez pas que la question n’est plus de savoir « si », mais bien « quand » l’attaque surviendra.
À propos de l’auteur
Evan est connu pour son énergie et son enthousiasme sans limites. Employé chez MWR Infosecurity en tant que Responsable de la sécurité réseau, c’est un blogueur passionné par les sujets liés aux technologies, à la cybersécurité et aux menaces susceptibles de compromettre les données sensibles. Doté d’une grande expérience du piratage éthique, Evan sait exprimer clairement son point de vue.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.